Puskás Tivadar Közalapítvány. PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ III. negyedéves jelentés

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "Puskás Tivadar Közalapítvány. PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ. 2010. III. negyedéves jelentés"

Átírás

1 Puskás Tivadar Közalapítvány PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ III. negyedéves jelentés

2 Tartalom Bevezető...3 Szoftver sérülékenységek...4 IT-biztonság a vállalati szektorban...5 IT-biztonsági beruházások...6 Paradigmaváltás...8 Internetbiztonsági incidensek...9 Az internet otthon...10 Felnőttek...10 Gyerekek...10 A cyber-bűnözés növekszik, de a hitelesítés fejlesztésével ez legyőzhető...11 Több tényezős hitelesítés...12 Out-of-band hitelesítés...12 A tranzakciók megerősítése...13 A jövő...15 Java kliensek támadása I...15 Áttekintés...15 Módszertan körvonalakban...16 Eszközök...16 A demo alkalmazás bemutatása...16 Potenciális támadások...18 Információgyűjtés...18 Megjegyzés...21 Próbálkozás és analízis...22 Profil készítés Eclipse TFTP-vel...22 Dinamikus nyomkövetés TPTP-vel...25 Dinamikus nyomkövetés AspectJ használatával...27 Referenciák...29 A VirusBuster Kft. összefoglalója 2010 harmadik negyedévének IT biztonsági trendjeiről...30 Jósolt rémségek, mai veszteségek...30 Közösségi kórkép...32 Levélszemét-özön...33 Virtuális támadás, fizikai célpont...34 Összefogás, gyors reagálás...34 Bővülő biztonsági piac...35 Folt hátán folt...35 "Kiemelkedő" kártevők...37 A VirusBuster Kft.-ről...39 Elérhetőségeink

3 Bevezető A Puskás Tivadar Közalapítvány által működtetett Nemzeti Hálózatbiztonsági Központ elkészítette évi III. negyedéves jelentését, mely legfontosabb IT- és hálózatbiztonsági momentumait gyűjti egybe és értékelést ad ezen technikai információk társadalmi és gazdasági hatásainak vonatkozásában az Információs Társadalomért Alapítvány közreműködésével, valamint bemutatja a VirusBuster Kft. összefoglalóját aktuális IT biztonsági trendjeiről. A hangsúly most is az aktuális informatikai biztonsági trendeken van. Többek között olvashatnak azokról a hitelesítési eljárásokról, amelyek fejlesztésével érezhetően visszaszorítható lenne a cyber-bűnözés és a napjaink internethasználatát megnehezítő hálózatbiztonsági támadásokról. Megemlítjük azokat a potenciális veszélyforrásokat, amelyek felismerésével és feltérképezésével csökkenthetjük a támadók fizikai célpontjait. Szó esik még a nemzeti és országhatárokon átívelő összefogásról, valamint a gyors reagálás fontosságáról és az ezt erősítő országos és nemzetközi gyakorlatokról. A Nemzeti Hálózatbiztonsági Központ igyekszik minél több szinten informálni szakmai közönségét: amellett, hogy idén elindította az IT biztonsági szakoldalát a Tech.cert-hungary.hu-t, külön hírfórumot működtet TECH-blog elnevezéssel, amely naponta többször frissülő nemzetközi hírekkel és érdekességekkel látja el a hazai olvasótábort, magyar nyelven. A TECH-blog RRS feed-en keresztül is elérhető a következő címen: A TECH-blog-on kívül a sérülékenységi publikációk is elérhetőek RSS csatornán keresztül melynek címe: Mindenkor fontos megemlítenünk, hogy a jelentésben szereplő adatok, értékek és kimutatások a PTA CERT-Hungary, Nemzeti Hálózatbiztonsági Központ, mint Nemzeti Kapcsolati Pont hazai és nemzetközi kapcsolatai által szolgáltatott hiteles és aktuális információkon alapszanak. Bízunk abban, hogy ezzel a jelentéssel egy megbízható és naprakész ismeretanyagot tart a kezében, amely hatékonyan támogatja majd az Ön munkáját és a legtöbb informatikai és internetbiztonságban érintett szervezetnek is segítséget nyújt a védelmi stratégiai felkészülésben. A Puskás Tivadar Közalapítvány - Nemzeti Hálózatbiztonsági Központ (CERT-Hungary) nevében: Dr. Angyal Zoltán Puskás Tivadar Közalapítvány Nemzeti Hálózatbiztonsági Központ hálózatbiztonsági igazgató Dr. Suba Ferenc Puskás Tivadar Közalapítvány Nemzeti Hálózatbiztonsági Központ testületi elnök Dr. Kőhalmi Zsolt Puskás Tivadar Közalapítvány a kuratórium elnöke Bódi Gábor Puskás Tivadar Közalapítvány ügyvezető igazgató 3

4 Szoftver sérülékenységek Szoftversérülékenység minden olyan szoftver gyengeség vagy hiba, amelyet kihasználva egy rosszindulatú támadó megsértheti az informatikai rendszer bizalmasságát, sértetlenségét vagy rendelkezésre állását. A sérülékenységi információk eloszlása, a 28., 32. és 34. heteken kimagasló értékeket mutat. Ennek oka a 32. héten a Microsoft patch Tuesday, a 28. héten a Oracle, SUN és HP termékek, valamint a 34. héten Microsoft és Adobe termékek kapcsán kiadott sérülékenységi publikációk magas száma. Sérülékenységi publikációk eloszlása Sérülékenységi riportok száma [db] A PTA CERT-Hungary, Nemzeti Hálózatbiztonsági Központ a III. negyedéve során 448 db szoftversérülékenységi információt publikált, amelyekből 165 db alacsony, 137 db közepes, 140 db magas és 6 db kritikus kockázati besorolású Alacsony Közepes Magas Kritikus A negyedév a kritikus sérülékenységek terén eléggé egyoldalú képet mutatott, a hat kritikus esetből öt (83%) az Adobe valamely széles körbe használt termékét (Reader, Flash, Shockwawe) érintette, míg a hatodik a Google böngészőjét a Chrome-ot érintette. Adobe Acrobat és Reader sérülékenység - CH-3506 Adobe Shockwave Player többszörös sérülékenység - CH-3527 Adobe Reader és Acrobat betűkészlet elemzés puffer túlcsordulás sérülékenysége - CH-3626 Adobe Flash Player ismeretlen kód futtatási sérülékenység - CH-3641 Google Chrome Flash Plugin ismeretlen kód futtatási sérülékenység - CH-3642 Adobe Reader/Acrobat Flash Player ismeretlen kód futtatási sérülékenység - CH-3643 A súlyos sérülékenységekkel együtt vizsgálva a halmazt az előző negyedévhez hasonlóan a Microsoft termékei vezetnek (34%), a további helyeken viszont átrendeződés figyelhető meg a specifikusabb szoftvertermékek felől az általánosan használt területek irányába. Ez ha lehet még nagyobb kockázatot jelent, hiszen nem üzleti szféra specifikus szoftverek hordozzák a kiemelkedő sérülékenységeket ahol van is kapacitás és szakértelem az esetleges problémák elhárítására hanem az összes szektort érintik ezek a hiányosságok. A második helyen az Adobe (12%), majd az Apple (5%), a Mozilla (4%) és a Google (3%) állnak. Magas és kritikus sérülékenyésgek eloszlása 12% 3% 41% Adobe Google Microsoft Apple Mozilla Egyéb 34% 5% 4% Ez a 4 nagy gyártó az összes súlyos és kritikus hiba közel 25%-áért felelős. Az előző negyedhez képest jóval diverzifikáltabb a terület, hiszen ott az első három helyezett közel 60%-os lefedettséget jelentett. A sebezhetőségek száma és a szoftverek elterjedtsége között továbbra is szignifikáns összefüggés mutatható ki. 4

5 Vendor TOP10 Érintett rendszerek A Microsoft esetében különösen nagy veszélyt rejt magában, hogy a legszélesebb körben használt asztali operációs rendszerek és az Office termékcsalád a leginkább érintettek. A Microsoft termékek frissítéseinek alkalmazására érdemes odafigyelni, hiszen ezen termékek érintettek a legnagyobb számban a Központunk által kiadott sérülékenységi publikációkban is, mint ahogy az a jobboldali grafikonon is jól látszik CISCO Adobe Hitachi Drupal Joomla Microsoft IBM HP Oracle Linux Alacsony Közepes Magas Kritikus A többi kiemelt gyártó pedig főleg az internethasználathoz és/vagy böngészéshez köthető termékei a kockázathordozók. A Google, a Mozilla és az Apple esetében is érintettek a böngészők; az Apple esetében az operációs rendszerek (ios, MacOS) valamint az Apple hardverek és a PC együttműködését biztosító itunes volt jelentősebben érintett; az Adobe esetében, pedig különösen nagy kockázatot jelent, hogy a szinte minden böngészőbe beépülő (Flash, Shockwawe), illetve a minden PC-n megtalálható dokumentumolvasó (Reader) alkalmazásokat érintették a legsúlyosabb hibák. Ez azt jelenti, hogy ezen széles körben elterjedt szoftverek sérülékenységeinek kihasználása az egész nemzetgazdaság szintjén súlyos és nehezen elhárítható problémákat eredményezhet. IT-biztonság a vállalati szektorban Az eszközök szintjén némi fejlődés, de a szemléletben továbbra is súlyos lemaradás foglalja össze a BellResearch1 a hazai vállalatok többségének ITbiztonsági gyakorlatát. A vállalatokra is jellemző, hogy gyakran az arányos, átgondolt védelem helyett csak annak illúzióját keltő, egyes részterületeket lefedő eszközöket használják fel, miközben a valódi biztonságot nyújtó, egész szervezetet átható stratégiai szemlélet meglehetősen ritka. Az eddigi trendek alapján a közeljövőben aligha lehet jelentős fejlődésre számítani, ahhoz ugyanis szemléletváltásra lenne szükség. Az utóbbi évek során, ahogy a vállalatok mind több kritikus üzleti folyamat támogatására alkalmaznak különböző informatikai megoldásokat, mind nagyobb adatvagyonnal gazdálkodnak, a rendszerekkel szembeni kitettségük is fokozódott. Így még abban az esetben is nagyobb kockázattal néznének szembe, ha mindeközben az IT-biztonsági fenyegetések nem nőttek volna. A mobilitás iránti igény erősödése és a hordozható eszközök terjedése szintén növeli a kockázatokat. A notebookok, amelyek a tolvajok kedvelt célpontjának számítanak, a vállalati pc-állomány mind nagyobb hányadát adják. Megfelelő óvintézkedések nélkül egy ingzsebben elférő pendrive-on vagy egy mobiltelefon memóriájában ma több adatot lehet szinte észrevétlenül kicsempészni a vállalattól, mint amennyit egy évtizeddel ezelőtt egy közepes méretű cég fájlszerverein összesen tároltak. Az informatikai biztonság kérdése messze túlmutat a sebezhetőséget csökkentő szoftver- és hardverkomponenseken, több azoknál. Stratégiai szemléletben előkészített terven alapuló döntések 1 Bellresearch: Magyar Infokommunikációs Jelentés 2009., 5

6 sorozata, rendszeresen felülvizsgált és következetesen betartatott szabályok összessége, amelyek megvalósítási eszközei között szoftvereszközöket is. találunk hardver- és A BellResearch kutatási eredményei szerint a legalább 10 főt foglalkoztató vállalkozások többsége (56 százalék) nemcsak hogy alkalmaz valamilyen üzleti célszoftvert, de ezeket valamely üzletileg kritikus folyamatának támogatására (is) használja, és az e téren érintett vállalkozások aránya a közepes és nagyvállalatok körében még magasabb. Bár az IT-biztonsággal foglalkozó cégek portfóliójában megtalálható a megoldások széles palettája, ezek az eszközök is csak megfelelő alkalmazás mellett lehetnek valóban hatásosak. Ennek előfeltétele a mind felkészültségében, mind számosságában megfelelő IT-biztonsági csapat rendelkezésre állása. A szükséges humánerőforrást a vállalatok jellemzően teljes egészében házon belül allokálják. A BellResearch kutatási adatai alapján a cégek 60 százaléka egyáltalán nem vesz igénybe külső specialistát, és az ilyen partner alkalmazása a nagyvállalati szegmensben az átlagosnál is ritkább. A Jelentés legfrissebb adatai szerint a hazai cégek IT-biztonsági aktivitásai jellemzően az eszközszintű védelmi megoldásokban merülnek ki. Antivírus-szoftvert és valamilyen tűzfalat a vállalatok nagy többsége alkalmaz, sőt ma már a spamszűrés is elterjedtnek tekinthető. A számok azonban viszonylagosak. E téren a 95 százalékos penetráció is alacsonynak számítana. Ráadásul a legjobb szoftverek sem érnek sokat, ha konfigurálásuk, rendszeres frissítésük nincs megfelelően megoldva. Azt is figyelembe kell venni, hogy az egyes vállalati szegmensek között jelentős szakadék húzódik. Míg levélszemét-szűrést a nagyvállalatok 91 százaléka alkalmaz, addig a mikrocégek mindössze kétötöde, és számos más IT-biztonsági megoldás esetében az olló még szélesebbre nyílik. IT-biztonsági beruházások A vállalatok informatikai függősége az elmúlt évek során egyre erősebbé vált. Megfelelő informatikai rendszerek nélkül már kisvállalati szinten sem képzelhető el tartósan sikeres működés. A biztonsági kockázatok növekedésével a sokáig alkalmazott kényelmes felhasználó szemlélet viszont át kell, hogy alakuljon a tudatos menedzsment irányába. Ez minden gazdasági szereplőre vonatkozik, hiszen az internet elterjedésével, a felelősség egyre inkább kollektívvé válik. Ha valaki nem figyel oda, nem csak magát, de a partnereit és az egész szektort is veszélybe sodorhatja. (Lásd például a NHBK PTA CERT-Hungary I. negyedéves jelentésének botnetekkel foglalkozó írásait.) Ebben a környezetben a jelenlegi tendencia az, hogy a világ informatikai beruházásokra fordított összegeinek egyre nagyobb szeletét rabolja el az informatikai biztonság. Ez a Gartner Group előrejelzése szerint a következő években elérheti a 10-12%-ot, szemben a korábbi 4-5 százalékkal. A Gartner felmérései2 szerint a következő egy év során a vállalatok teljes informatikai 2 Gartner Group: Gartner Says Efficient and Secure Enterprises Will Safely Reduce the Share of Security in their IT 6

7 költségvetésüknek átlagosan mintegy 5 százalékát fogják információbiztonsági technológiákra költeni. Ez valamivel kevesebb, mint a tavalyi 6 százalék, viszont az informatikai összköltségvetések közel 2 százalékkal emelkednek, így a biztonsági szakemberek nagyjából pénzüknél maradnak. A felmérések szerint a vállalati szektor 40%-a allokál a megelőző időszakhoz képest több forrást a biztonsági megfontolásokra. A Gartner adatai3 szerint egy átlagos (amerikai) vállalat alkalmazottanként 525 dollárt költ információbiztonságra. Ugyanakkor az egyes iparágak között nagy eltérés van. A biztosítóknál ez az összeg 886 dollár, a kormányzatnál 671 dollár, a pénzügyi szolgáltatóknál pedig 637 dollár. Nem biztos azonban, hogy ezeket a pénzeket okosan költik el. Egy másik felmérésben a Forrester Research arra az eredményre jutott4, hogy a pénzek aránytalanul nagy hányadát fordítják az ügyfelek személyes adatainak és a bankkártya-adatoknak a védelmére. Miközben az ilyen információk amelyeknek a cég csak őrzője a vállalati információvagyon alig több mint egyharmadát teszik ki, a biztonsági költségvetés fele ezek védelmére megy el. A cégek csak a költségvetés másik felét fordítják a céges adatvagyon kétharmadát adó vállalati titkok (stratégiai tervek, értékesítési előrejelzések, pénzügyi eredmények) védelmére. Általában elmondható, hogy a cégek csak valamilyen káresemény (adatvesztés, vírustámadás, a levelezőrendszer leállása, információk kikerülése, hacker-támadás) után kezdenek el foglalkozni a biztonsági kérdésekkel. Ez - bár jellemzően emberi viselkedés - semmiképpen nem nevezhető preventívnek, ami pedig ma minden cégnek és szervezetnek alapvető érdeke lenne. A cégek többségének - talán csak a legnagyobbakat kivéve - általában nincs olyan informatikai stratégiája, ami meghatározná, hogy az informatika milyen módon szolgálja ki a tervezett üzleti célokat, folyamatokat. Gyakran előfordul, hogy a felső vezetésben egyáltalán nem tudatosul, hogy az informatikát milyen módon tudnák a legjobban használni. Komoly hiányosság, hogy a cégek többségénél nincsenek tisztában a céget fenyegető kockázatok és az üzleti folyamatok fenntarthatósága közötti összefüggésekkel, illetve ennek kapcsán azzal, hogy az informatikai rendszerek hibái milyen óriási közvetlen károkat okozhatnak. Az elvégzett kockázatelemzések eredményei az esetek többségében hatalmas meglepetést okoznak a felső vezetésnek. Még a legnagyobb cégekre is jellemző, hogy hamis illúziókat táplálnak, különösen akkor, ha a cégnél már történtek lépések az informatikai biztonság megteremtésére. Az ilyen rendszerek számtalan esetben sok helyen lyukasak. A hamis biztonságérzet ezeknél a cégeknél is azt eredményezi, hogy valamilyen káreseménynek kell bekövetkeznie ahhoz, hogy a szükséges lépésekre rászánják magukat. A legproblémásabb területek: a jogosultságok és jelszavak feladatorientált, hierarchikus kezelése, a vezetők bizalmatlansága az üzemeltetőkkel szemben, a jelszavak könnyű visszafejthetősége illetve nyílt kezelése, a felhasználóknak indokolatlan jogok biztosítása, a tűzfalak, routerek nem megfelelő beállításai, a mentések laza és szabályozatlan kezelése, a megfelelő informatikai szabályozások és fegyelem hiánya. Az első számú prioritás az informatikai vezetők szerint a felhasználói identitáskezelés (identity management) volt: 20 százalékuk számára volt ez az elsődleges beruházási célpont. Budgets by 3 to 6 Percent of Overall IT Budgets Through 2011, id= Gartner Group: Gartner Says Security Software Market is Poised for 11 Percent Growth in 2010; , 4 IT-business: Mostohagyerek a biztonság,

8 Összefoglalóan a legnagyobb gondot az okozza, hogy a felmerülő problémákat a legtöbb helyen nem átfogóan, rendszerben gondolkodva közelítik meg, hanem csak egyes részterületeken próbálnak meg eredményeket elérni leggyakrabban a gyorsan valamit vegyünk minél olcsóbban szűklátókörű és rövidtávú gondolkodás mentén és ezek megvalósítására sokszor még mindig elegendőnek tartják az eszközök megvásárlását. A rendszerben gondolkodás egyik összetevője az is, hogy a cég üzleti stratégiájába az informatikának és az informatikai biztonságnak szervesen bele kell illeszkednie. Azonban ezek a stratégiai kérdések ma még nem kapták meg a jelentőségükhöz méltó helyet. Másrészt még mindig komoly hiányosságokkal küzd az a két terület, amelyik pedig a legnagyobb eredményt hozhatná. Ezek az emberi tevékenységek szabályozása és az oktatás. A statisztikák és az eddigi tapasztalataink is azt mutatják, hogy a biztonsági problémák túlnyomó része (legalább százaléka) a nem megfelelően szabályozott emberei tevékenységekre és a szükséges ismeretek hiányára vezethető vissza. Paradigmaváltás Az IFUA Horváth & Partners és a Budapesti Corvinus Egyetem közös IT benchmarking kutatása5 alapján a biztonság emelése azonban várhatóan 2011 során sem fog elsődleges prioritást élvezni az informatikai beruházások piacán. Amikor a különböző informatikai projektek fontosságáról kérdezték a vezetőket, a biztonság csak a kilencedik helyen tudott megkapaszkodni, és olyan, manapság divatosnak számító technológiák előzték meg, mint a virtualizáció, a számítási felhő vagy a mobil technológia. Míg az előző kutatási forduló (2007/2008) eredményei alapján a szervezetek és intézmények többsége a belső informatikai célok elérésére koncentrált, ma már a válaszadók egyharmada kifelé tekint, és az ügyfélkapcsolat-kezelési (CRM), valamint a velük összefüggő e-megoldások fejlesztésére fókuszál. Viszonylag sokan tartják még fontosnak az üzleti intelligencia-megoldásokat is (a CRM segítségével begyűjtött adatok elemzése a fókuszpont), illetve a folyamatirányító (workflow) rendszereket. Eközben az informatikai vezetők korábbi 53 %-a helyett csak 16 százalék tartja fontosnak az ITbiztonságot, és több más, néhány éve még lényegesnek tartott terület (mint például a vállalatirányítási rendszerek, a szerverkonszolidáció, a belső vállalati portál vagy éppen a szolgáltatási szintek kérdése) a háttérbe szorult. A változás jelentős, de korántsem meglepő, mert teljes mértékben összhangban van a nemzetközi trendekkel. Ezek szintén az értékesítést szolgáló technológiák előtérbe kerülését mutatják, párhuzamosan az informatikai költségek visszaszorításával és az IT-hatékonyság növelésével. Az elemzési szoftverek azért is kerülhettek most az előtérbe, mert megfelelnek a válság idején az informatikai beruházásokkal szemben támasztott talán legfontosabb követelménynek, a gyors megtérülésnek. 5 Schopp Attila: Biztonság helyett inkább az ügyfél, , 8

9 Internetbiztonsági incidensek Internetbiztonsági incidens minden olyan biztonsági esemény, amelynek célja az információs infrastruktúrák bizalmasságának, sértetlenségének vagy rendelkezésre állásának megsértése az interneten, mint nyílt információs infrastruktúrán keresztül. A PTA CERT-Hungary, Nemzeti Hálózatbiztonsági Központ a év harmadik negyedéve során összesen 85 db incidens bejelentést regisztrált és kezelt, ebből 10 db alacsony és 75 db közepes kockázati besorolású. A Nemzeti Hálózatbiztonsági Központ a hatékony incidenskezelés érdekében 24 órás ügyeletet működtet az év minden napján. Az ügyelet feladata az egyes incidensek kapcsán adandó válasz-intézkedések megtétele. 9% Interbetbiztonsági incidensbejelentések eloszlása heti bontásban Alacsony 11% 2% 6% 14% 2% Botnet DDoS Káros program Egyéb Adathalászat Scan Rendszer hozzáférés 29 55% Közepes Magas 2010 III. negyedévében a legnagyobb számban adathalász tevékenység (55%), káros szoftverek terjesztése (14%) kapcsán érkeztek bejelentések, leszámítva a Shadowserver Foundationtől beérkező botnet hálózatokról szóló bejelentéseket. Számottevőek voltak még a rendszer hozzáférési kísérletek kapcsán beérkezett bejelentések, melyek mindösszesen 11%-át teszik ki az összes bejelentésnek. A bejelentések több mint 90%-a hazai forrású káros tevékenységgel vagy tartalommal állt összefüggésben, és túlnyomó részt külföldi partnerszervezetektől érkezett. Az egyes incidensek elhárítása kapcsán összesen 25 hazai és 2 külföldi szolgáltató került bevonásra. 9

10 Az internet otthon Az adat-információ biztonságnak nem a műszaki-technikai feltételek, hanem a műszaki-technikai eszközöket üzemeltető, a dokumentumokat, adatokat, információkat kezelő személyzet, az ember a legnagyobb kockázata. A mai munkavégzés, szervezés, irányítás, végrehajtás és ellenőrzés jelentős része elektronikusan zajlik, számítógépeken illetve távközlő, számítógépes hálózatokon. Felnőttek A Symantec 13 országra kiterjedő nemzetközi felmérése 6 szerint a felnőttek nagy része (99 % a nemzetközi átlag, 98,5 % a magyar) véli úgy: tett lépéseket a személyes információinak megvédése érdekében. 84%-uk pedig úgy nyilatkozott, hogy tisztában van a biztonságos online jelenlét szabályaival. Ugyanakkor a nem biztonságos böngészés, a felelőtlenség mindennapos, a feltört számítógépek száma pedig riasztóan magas. Az internetező felnőttek fele szándékosan keres fel nem megbízható webhelyeket, nem készít mentést adatairól, és nem használ biztonságos jelszavakat. Egyharmaduk jelezte, hogy valaki már betört a számítógépébe. Annak ellenére, hogy a felnőttek 99 százaléka úgy véli, hogy tett lépéseket a biztonsága érdekében, az idei beszámolóból az derül ki, hogy sok fogyasztó nincs teljesen védve az internetes flörtölés vagy barátkozás közben. Bár az átlagos fogyasztó tudatában van az internetes biztonság fontosságának, sokan csak ritkán használnak víruskeresőt, vagy nincs kellő védelmük a mai veszélyek ellen. Az internetező felnőttek közel fele már megtapasztalta a merevlemez tönkremenetelével járó problémákat, és egyharmaduk már vesztett el értékes zenét, fényképet, videót vagy pénzügyi dokumentumokat. Még aggasztóbb, hogy 10 közül két felnőtt egyáltalán nem használ védelmi szoftvert. Magyarországon a felnőttek 74,5 százaléka telepített védelmi szoftvert, ugyanakkor tízből két felnőtt még mindig kiadja a neten a bizalmas adatait, mint például a bankkártyája számát vagy a személyi igazolványa számát. A megkérdezett magyar felnőttek 56,6 százaléka nem használ bonyolult jelszót, 41 százalék pedig bevallottan nem csak megbízható internetes oldalakat keres fel. A magyarok 85,6 százaléka nem jelzi a gyanús eket vagy internetes tevékenységeket. Gyerekek A gyerekek sokkal inkább igénybe veszik az informatika nyújtotta lehetőségeket, különösen az online kapcsolattartás területén, globálisan egy gyerek átlagosan havi 39 órát tölt online, míg ez a szám szüleik esetében bő fele: 21 óra. Egyre fontosabb területe az informatikai biztonságnak a gyerekek védelme. Minden ötödik gyerek ismerte be, hogy olyan dolgokat néz, vagy olyasmit tesz az interneten, amit a szülei nem néznének el neki. A megkérdezett gyerekek húsz százalékát rajta is csípték, hogy olyasmit nézeget a neten, amit nem lenne neki szabad. A nemzetközi átlag kétszerese, a 7-17 éves magyar gyerekeknek 42 százaléka válaszolta, nem igaz az az állítás, hogy a szülei mindig tudnák, mit nézeget, ha internetezik. Ráadásul a magyar gyerekeknek csak harmada használ bonyolult jelszót, százból nyolc vált gyakran jelszót, 87 százalék nem jelez, ha gyanús eket vagy internetes tevékenységeket tapasztalt, 26 százalék pedig gond nélkül kiadja a személyes adatait idegeneknek. Bár majdnem minden szülő azt mondja, hogy ők felelősek gyermekük online biztonságáért, sokan szívesen megosztják ezt a felelősséget. 6 Symantec: Norton online living report 2009,

11 A cyber-bűnözés növekszik, de a hitelesítés fejlesztésével ez legyőzhető A cyber-bűnözés a mai modern élet velejárója, egyre kifinomultabbá válik, amire már felfigyelt a média, különböző politikusok, sőt még az állampolgárok is. Egyelőre itt tartunk, de az biztos, hogy a jövő háborúja kiterjed a cyber hadviselésre is, így az amerikai kormány már sürgeti a számítógépekkel kapcsolatos védelmi képességek kifejlesztését. Ennek az új keletű tevékenységnek a hatásait már megtapasztalhattuk elején, például az Aurora7 nevű sérülékenységet kihasználó kód esetén, ami a Google-t és másokat is célba vett. Az otthoni felhasználók kezdik megtapasztalni a cyber-bűnözés velejáró hatásait az alapvető üzleti tevékenységek folyamán, különös tekintettel a pénzügyi szektorra, de gyakran előfordul máshol is. A cyber-bűnözési mutató folyamatos emelkedéséhez vezetett az utóbbi öt évben a szervezett bűnözői csoportok által a viszonylag gyorsan alkalmazott technika. A cyber-bűnözés többé már nem a szülői ház pincéjében dolgozó a fiataloktól indul ki ez most már egy üzletág, törvényekhez alakítva, amely gazdag és érdekeltségekkel rendelkező szervezeteken alapul, amely megszerzi a világ legtehetségesebb számítógépes szakembereit is. A cyber-bűnözés nagyjából két kategóriába sorolható be: a célzott támadásokra és a tömeges támadásokra. A célzott cyberbűnözésről semmi új nem mondható el, habár gyakran hasonlatos a tömeges támadásokhoz, amik az utóbbi években emelkedő tendenciát mutatnak. A célzott támadás alatt az értendő, amikor a bűnözők célpontja egy egyén vagy cég, és a támadók gyakran speciális ismeretekkel rendelkeznek a kiszemelt áldozatról. Legújabban a belülről induló (bennfentes) támadások tartoznak az utóbbi kategóriához. Ezek a támadások kapcsolatban állnak a tömeges bűnözés kirobbanásával is. Ehhez például olyan eszközöket használnak fel, mint a Zeus káros szoftver program, így például a bűnözők képesek egyszerre óriási számosságú támadást elindítani a célpontok ellen, akik általában előzetesen sem ismerik a támadókat. A Zeus még három évvel a kezdeti azonosítása után is aktív maradt, a becslések szerint júliusában 3,6 millió számítógépet tartott ellenőrzése alatt kizárólag csak Amerikában. A tömeges támadások olyan gondokat okoztak végére, hogy az FBI az Amerikai Bank Szövetséggel együtt kidolgozott egy kézikönyvet az összes online bankolást használó cég részére, melyben azt javasolta, hogy az online bankoláshoz kizárólag hitelesített (dedikált) számítógépet használjon, és semmi mást. Ezzel próbálták megakadályozni az ilyen típusú káros szoftverekkel való megfertőződést. Ugyan ez a javaslat csökkenthette a fertőzöttség mértékét, de ez, a probléma nagyságának hallgatólagos beismerését is jelentette, valamint azt, hogy nincs gyors és hatékony megoldás. Különböző szoftver sérülékenységek elleni védelmi eljárások kerültek kidolgozásra az évek folyamán, ilyenek például a tűzfalak, az IDS rendszerek és a káros szoftverek elleni alkalmazások. Ezek a védelmi módszerek egy ideig valóban hatékonyan csökkentették a szoftver sérülékenység kihasználását, de ahogyan fejlődtek ezek a védelmi eljárások, a támadók úgy egyszerűen egy másik nézőpontot vagy hozzáállást kerestek. Emelkedést mutatnak a felhasználói hitelesítési eljárások ellen irányuló támadások is elején egy Microsoft Internet Explorer sérülékenységet kihasználó exploit megnevezése 11

12 Több tényezős hitelesítés Mivel bonyolultabbá vált a szoftver hibák kihasználása, a támadók egy könnyebb célpontot kerestek: ezek a hitelesítő rendszerek. Az ilyen típusú támadások több évre visszavezethetőek, amelyek a korai billentyűzet leütések naplózásával megszerzett jelszavakkal kezdődtek, majd az alapú phishing támadásokkal folytatódtak, amelyek már a támadók számára ezerszám biztosította a megszerzett tanúsítványokat. A hitelesítés ellen irányuló támadások egyre kifinomultabbak lettek az évek folyamán, a napjainkban jelentett súlyos, tömeges támadások alapját képezik. Amikor problémák vannak a hitelesítéssel, akkor erre az a természetes reakció az, hogy erős hitelesítési megoldásokat fejlesztenek ki, mint ahogyan az elmúlt évek folyamán az ilyen rendszerek széleskörű fejlődésén lehetett tapasztalni. Az erős hitelesítési rendszer egzakt fogalmának pontos meghatározása az adott helyzettől függően változhat. Néhány területen az erős hitelesítés egyszerűen azt jelenti, hogy válaszokat kérnek a biztonsági kérdésekre (például Mi a kedvenc színe? ). Más összefüggésben, más területeken ide tartozik a biometrikus hitelesítés, hely meghatározás, az idő-alapú hitelesítés stb. Az erős hitelesítési technológiák részét képezik a több tényezős 8 technológiák, amelynek alapja, hogy a felhasználó egynél több hitelesítési tényezővel rendelkezzen, egy speciális listán felsorolt lehetőségek közül, melyek közé tartoznak a valami, amit Ön ismer csak típusúak (jelszavak, PIN kódok stb.), a valami, amivel Ön rendelkezik típusúak (telefonok, okos / smart kártyák, biztosítékok és tokenek), vagy a valami, ami Te vagy típusúak (biometrikus azonosítók, mint a retina vizsgálat, hang minta, új lenyomat stb.). A több tényezős megoldásoknál, akár két tényezősről, akár három tényezősről van szó, a tényezők típusainak különbözniük kell egymástól azaz nem lehet például a valamit, amit csak Ön ismer kategóriából két lehetőséget együttesen alkalmazni, mint például a jelszó és a PIN kód. Vannak olyan rendszerek, amelyeket több tényezős hitelesítési rendszernek tekintenek, de nem felelnek meg a fenti meghatározásnak. Habár ezek a rendszerek használják a web böngésző jellemzőit, mint az IP alapú helymeghatározás, használati minták, idő alapú azonosítás és így tovább ezek mindegyike hasznos információ a felhasználók azonosítására, de ezek korántsem olyan elfogadottak a biztonsággal foglalkozó közösségekben, mint a három hagyományos kategória. Out-of-band hitelesítés Mostanában tűnt fel a több tényezős rendszerek között: a sávon belüli kontra sávon kívüli hitelesítés (in-band versus out-of-band). A sávon belüli (in-band) rendszerek mindegyik tényezőjüket (kettő vagy három) egyetlen logikai csatornán keresztül szerzik meg, a sávon kívüli (out-of-band) rendszerek legalább két csatornát használnak a tényezők begyűjtéséhez. Egy közismert példája a sávon kívüli rendszereknek (out-of-band) a token alapú hitelesítés a felhasználók közölnek valamit amit csakis ők tudnak (például a PIN kódjukat), azzal együtt amijük van (ezzel bizonyítják, hogy rendelkeznek a tokennel, ideiglenes token kód formájában), az Interneten keresztül ugyanazon a csatornán. A sávon belüli (in-band) rendszerek gyengesége abban van, hogy egyetlen káros szoftverrel a rendszeren egyszerre lehet megtámadni mindkét tényezőt. A token esetén például a rendszer megtámadásához egy káros szoftverrel meg kellene szerezni a bemeneti adatokat (a PIN kódot és a token kódot), és továbbítani azt a támadónak egy másik eszközön vagy csatornán keresztül, mint például az IM9. Amikor a támadó megkapja az információt, akkor egyszerűen felhasználhatja a 8 multi-factor 9 Instant Messaging azonnali üzenetküldő rendszer, mint pl.: MSN, IRC stb. 12

13 bejelentkezésre azt, és a szerver nem tud különbséget tenni a támadó és a törvényes felhasználó ugyanonnan történő bejelentkezése között. A problémára megoldást jelent a sávon kívüli (out-of-band) hitelesítés használata, ahol a tényezők begyűjtése különböző logikai csatornákon keresztül történik. A telefon alapú hitelesítés a legelterjedtebb és a legszélesebb körben használt a sávon kívüli (out-of-band) hitelesítési eljárásokban. Ez úgy működik, hogy begyűjt valamit az Interneten keresztül, amit csak Ön ismer és ellenőrzi azt, ami Önnek van (a telefon megléte) a telefonhálózaton keresztül, így lehetetlen egyetlen káros szoftverrel megtámadni egyszerre mindkét tényezőt. A tranzakciók megerősítése A bejelentkezések hitelesítése kritikus folyamat, de a legújabb, legkifinomultabb támadások miatt ez nem elégséges. Amennyiben bekövetkezik az, hogy egy támadás elindítása túl bonyolulttá válik, akkor a bűnözők egyszerűen keresnek egy másik könnyű utat, a támadás kivitelezéséhez. Amennyiben túl nehéz megtámadni a hitelesítést, akkor a támadók egy káros szoftverrel egyszerűen megkerülik azt. Ezek a támadások egyáltalán nem elméletek, számos esetben jelentettek káros szoftverekhez, mint például a Zeus-hoz és a Clampi-hoz kapcsolódó hitelesítés utáni támadásokat. Egy ilyen támadás a következőképpen működik: a felhasználó gépe egy káros szoftverrel fertőzött, ami türelmesen várakozik mindaddig, amíg a felhasználó be nem jelentkezik az online bankoláshoz használt oldalra. Nem tudja megkerülni az oldalt, az erős hitelesítő eljárás alkalmazása miatt, de nincs is rá szükség egyszerűen megvárja a felhasználó bejelentkezését. Amikor a bejelentkezés megtörtént, akkor a káros szoftver parancsokat ad a banknak például pénz átutalásra, anélkül, hogy a felhasználó látná, hogy mi is történik, aki ezalatt például próbálja ellenőrizni az egyenlegét vagy belép egy online számlafizető kérésbe. A bank nem tud különbséget tenni a csaló tranzakciók és a törvényesek között, kivéve ha a felhasználó különösen elővigyázatos a bankszámla műveletekkel, a tranzakciót könnyű elhibázni, mielőtt az törlésre kerülne. Ezen a ponton nem lehet megállapítani egyértelműen, hogy ki a felelős a veszteségért, de ekkor főképpen a banki ügyfelek felelőssége merül fel, nem pedig a banké. (Megjegyzendő, hogy ez a törvénykezés egy gyorsan fejlődő területe, és megegyezést legalább egy megkezdett polgári perben született állásfoglalás hozhatna.) Sőt mi több, belülről indított támadások is lehetségesek. Képzeljünk el egy olyan káros szoftvert, amely egyszerűen csak várakozik az ACH10 tranzakciókba belépő online bankoló ügyfelekre, azután a káros program megváltoztatja a cél ABA 11-t és a bankszámla számokat. Az ügyfél bankszámlájának egyenlege még mindig helyesnek látszik, kivétel az az eset, ha az ügyfél különösen elővigyázatos (és részletekre figyelő) könyvelő típus, mert a probléma csak hetek múlva derülne ki, amikor a jogos címzett reklamálni kezd az elmaradt kifizetés miatt. A probléma gyökere ismételten egy hitelesítési hiba. Azaz a tranzakciót nem a hitelesített felhasználó indította - hanem egy jogosultsággal nem rendelkező, ami biztonsági elvi hibából ered, amit a káros szoftver testesített meg. A megoldás az, hogy a felhasználónak a tranzakció ideje alatt újra azonosítania kell magát. Magának a tranzakciónak a hitelesítése megelőzi, hogy a káros szoftver nem kért tranzakciókat bonyolítson le. 10 Automated Clearing House (Automatikus Klíring Ház): Pénzügyi intézmények és vállalatok közötti pénzátutalások, állami értékpapír ügyletek elektronikus feldolgozását végzi 11 American Bankers Association (Amerikai Bankár Szövetség): Nemzetközi egyezmény szerint ez a szerv működik a kártyakibocsátói azonosító számok regisztrációs hatóságaként 13

14 A fenti példát alapul véve, tegyük fel, hogy az online banki alkalmazásokat telefonon keresztül történő tranzakciójóváhagyás védi. A fenti példában, a beérkezett ACH átviteli kérés nyugtázásakor a banki szerver kezdeményezne a felhasználó felé egy telefon hívást, mivel (látszólag) ő indította az adott kérést, visszajátszaná neki a tranzakció részleteit, és kérné annak jóváhagyását. Természetesen a felhasználó megtagadhatná a tranzakciót, így a pénz semmi esetre sem hagyná el a számlát. A tranzakciójóváhagyás kérdése több annál, mint egy egyszerű felhasználói hitelesítés. Még így is van lehetőség arra, hogy kiderítsék a fent leírt bankszámlaszám kapcsolót, mialatt a felhasználó újra begépeli a cél bankszámlaszámot a jóváhagyás hívás alatt. Ez egy egyszerű kérés, a felhasználó a hívás ideje alatt látja a cél bankszámla számot, így hatékonyan megelőzhető a bankszámla szám kapcsoló támadás. Valójában mindkét eset a tranzakció adatainak aláírása (TDS12). Azzal, hogy a felhasználótól kérik az újra azonosítást, vagy aláírást, minden egyes tranzakcióhoz, így a bank egészen biztos lehet a kérés hitelességében. Egy teljes TDS kérésnek tartalmaznia kellene a dátumot, a forrás és cél bankszámlaszámokat, a tranzakció összegét az azonosító kóddal együtt. A bankok ezen információk egy részhalmazának használatával elérnék a megfelelő szintű biztonságos hitelesítést. A tranzakciójóváhagyás túlmutat az online bankoláson, ami természetesen minden olyan esetre vonatkozik, ahol érzékeny információk vannak. Ezt a koncepciót lehetne alkalmazni a fájl szervereken a fájlok megváltoztatásához, vagy például a speciális weboldalakhoz történő hozzáféréskor az adatok olvasásakor. A közös weben az egyedi bejelentkezési és hitelesítési megoldások a már megszokott módon választják szét a dokumentumokat a megkövetelt hitelesítési szint alapján, már két közösségi rendszer, az IBM Tivoli Access Manager és a Computer Associates SiteMinder is támogatja a fokozatos hitelesítést, amihez használja a telefon alapú azonosítást. Egy alkalmazáson belül igen bonyolult lehet a megfelelő hozzáférési szintek meghatározása. A biztonsági adminisztrátoroknak meg kell találniuk az egyensúlyt az elérni kívánt biztonságos hitelesítés és a felhasználók felé intézett újrahitelesítési kérések normál üzletmenetet zavaró mivolta között. Különböző eszközök jelennek meg, amelyek megtartják a felhasználók által közösen használt eszközök egyszerűségét, ugyanakkor a biztonságot is megfelelő szinten tartják, beleértve az IP alapú fehér listákat (whitelist), ahol a hitelesítés a megbízhatónak tekintett számítógépekről érkezett, vagy a tranzakcióhitelesítő gyorsító tárakat, ami az egymást követő hasonló tranzakcióknál kiküszöböli az újraazonosítást. Például, nincs értelme az újraazonosításnak azoknál az ACH átutalásoknál, ahol a megadott cél bankszámlaszám esetén az első azonosítás már sikeres volt. A tranzakció jóváhagyás számos módon implementálható. A telefonos hitelesítést az egyik lehetőségként írtuk le, egy másik módszer az SMS alapú hitelesítés, ahol a tranzakció részletei SMS szöveges üzenetként kerülnek elküldésre a felhasználó mobil telefonjára. A felhasználó az SMS-re sávon kívül (out-of-band) tud válaszolni, hogy jóváhagyja a tranzakciót. Továbbá számos smart kártyán alapuló megoldás is van, ahol az összes tranzakciós adat aláírással rendelkezik, még nem vizsgáltuk a fejlesztések költség és logisztikai vonatkozásait. Ezeknek a rendszereknek a használatához smart kártya olvasóra van szükség, numerikus billentyűzettel, ahol begépelhetőek és aláírhatóak a tranzakció részletei. Számos ellentmondást vet fel a tranzakciójóváhagyás. A legtöbb alkalmazásnál (kivételek egyes kormányzati esetek) hiányzik a tranzakció megfogalmazása vagy az események jóváhagyása. Ezek az alkalmazások egyszerűen nem rendelkeznek a munkafolyamat tetszőleges pontjaihoz kötődő azonosítási eljárással. Az 12 Transaction Data Signing (Tranzakciós adatok aláírása): egy előállított kód, amelyet a hitelesítési és a tranzakció azonosítási folyamat részeként használnak. 14

15 alkalmazásoknál szükség lehet a forrás kód módosítására vagy egy proxy megoldásra. Az alap képességek között a rendszerre vonatkozó tranzakciójóváhagyás beállítások igen bonyolultak lehetnek, mert a viszonylag mindenre kiterjedő szabálykészlet határozza meg, ha további hitelesítés szükséges, valamint a használat egyszerűsége és a hitelesítés biztonsága közötti feszültség. A központosított hozzáféréskezelő rendszerek segíthetnek a heterogén webes környezetben, bár a biztonsági adminisztrátorok csak magukra hagyatkozhatnak, ha egyedi üzletági alkalmazást használnak. A jövő Változik a világ. A cyber bűnözők kitűnő, életképes hitelesítő rendszerek elleni támadásokat hajtanak végre, ezért a biztonsági adminisztrátoroknak igen nehéz feladat a felhasználóikat megvédeni ezektől a támadásoktól. Így merre is induljunk? A cégeknek minden részletre kiterjedő hitelesítésbiztonsági elemzést kell végezniük a cégnél alkalmazott minden jelentősebb új alkalmazás esetén. Központi kérdés, hogy az alkalmazás egy eseményalapú hitelesítést támogat vagy a proxy alapú megoldásokat. Keresni kell a sávon kívüli (out-of-band) hitelesítési eljárásokat, amik védelmet jelentenek a párhuzamos fenyegetettségek ellen. Végül, elemezni kell a meglévő alkalmazások hitelesítés rendszerének lehetséges gyenge pontjait. A magas kockázatot jelentő tranzakciókat tranzakció jóváhagyással kell védetté tenni; nyomást kell gyakorolni a forgalmazókra a tranzakció jóváhagyás támogatásáért vagy ezt saját maguknak kell megtenniük. Java kliensek támadása I. A dokumentum Stephen de Vries Attacking Java Clients: A tutorial című prezentációjára épül, melyet a szerző július 20-án publikált, és 2010-ben Las Vegas-ban a Blackhat konferencián prezentált. A prezentáció terjedelme miatt a tartalom bemutatása két részre tagolódik, ahol első ízben az információgyűjtésbe, valamint az analízisbe nyerhetünk bepillantást. A későbbiekben a kiaknázás kerül górcső alá, ahol megismerkedhetünk egy példaprogramon keresztül a Java kliensek gyenge pontjainak kihasználási módszereivel, a kliens biztonsági kontrolljainak megkerülésével, befecskendezési technikákkal és a szerver oldali funkciók támadási módjaival. Áttekintés A Java klienseket gyakran a szerver oldali alkalmazások lehetőségekben gazdag klienseiként használják. Biztonsági tesztelők szempontjából, számos akadály gátolhatja a Java kliens/szerver alkalmazások alapos felmérését: A kommunikációs réteg lehallgatása és manipulálása komoly kihívást jelent (gyakran SSL 13 kapcsolaton át RMI14-vel találkozhatunk) A kliens által végrehajtott bevitel ellenőrzése gátolhatja a befecskendezési módszereket, megnehezítve például az XML vagy az SQL befecskendezéses támadásokat. A kliens oldali biztonsági kontrollok behatárolhatják a rendelkezésre álló funkciókat. A grafikus felhasználói felületek korlátozhatják az automatikus tesztelést, mint például a brute force15 vagy a szótár alapú jelszótörések alkalmazását. 13 Secure Soceket Layer (SSL) Kriptográfiai protokollok, melyek biztonságos hálózati kommunikációt szolgáltatnak. 14 Java Remote Method Invocation (RMI) Java alkalmazás programozási interfész, mely objektum-orientált ekvivalens távoli eljárás hívásokat (RPC) hajt végre. 15 Brute force Jelszó töréseknél használatos módszer, mely az összes lehetőség kipróbálását jelenti. 15

16 Módszertan körvonalakban 1. Információgyűjtés Osztályok azonosítása Az alkalmazás darabokra szedése a funkciók mélyebb megértése érdekében 2. Próbálkozás és analízis Szekvencia diagram készítése az interakciók alapján Dinamikus nyomkövetés alkalmazása a végrehajtási folyamat megértése érdekében Potenciális támadási vektorok megállapítása 3. Kiaknázás Shell16 befecskendezés A kliens oldali biztonsági kontrollok megkerülése Szerver oldali funkciók támadása Befecskendezéses támadások Brute force és/vagy szótár alapú támadások Hozzáférés vezérlés Logika Eszközök A fenti megközelítést elősegíti számos, szabadon elérhető fejlesztő eszköz. Az analízis számottevő része, valamint a nyomonkövetés Eclipse IDE17 alkalmazásával történik. A tesztelési környezet leggyorsabb kialakításának módja az Eclipse Test & Performance Tools Platform Project (TPTP) csomag letöltése a oldalról, majd a fennmaradó plugin-ok telepítése az Eclipse update manager használatával. A következő plugin-ok szükségesek: JD Eclipse decompiler: AspectJ Development tools: A BeanShell csomag (http://beanshell.org/) és a Java Object Inspector (http://www.programmersfriend.org/download/) szintén szükségesek a befecskendezésekhez. Az AspectJ a TPTP alternatívájaként is használható a Java alkalmazások befecskendezésekor (http://www.eclipse.org/aspectj/downloads.php). A demo alkalmazás bemutatása Az alkalmazás lehetővé teszi a felhasználók számára, hogy megtekintsék rendeléseiket, melyeket egy adott online shop felé adtak le. Implementált egy elérési kontroll, melynek feladata, hogy adott felhasználó csak a saját rendeléseibe nyerhessen bepillantást. 16 Shell A felhasználók számára nyújtott csatlakozási felület, mely elősegíti a rendszermag szolgáltatásainak elérését. 17 Integrated Development Environment (IDE) integrált fejlesztői környezet 16

17 Például a bob nevű felhasználó a következő rendeléseket láthatja: Míg alice az alábbiakat láthatja: 17

18 Potenciális támadások A kliens által nyújtott egyszerű szolgáltatások, nevezetesen a belépési és a rendelési funkciók számos támadási formát tesznek érdekessé: a kliens manipulálása, illetéktelen rendelési információk elérésének céljából szerver oldali támadások (pl.: SQL befecskendezés) automatikus brute force, vagy szótár alapú támadások a hitelesítési igazolványok, azaz a felhasználónevek és jelszavak felderítésének céljából A dokumentum további részének tárgya a fenti támadások tesztelése. Információgyűjtés Mindenekelőtt azonosítani szükséges, hogy mely JAR fájlok, vagy osztály fájlok érdekesek biztonsági szempontból. Java kliensek esetén igen gyakori, hogy számos osztály könyvtárat tartalmaznak, ezért elengedhetetlen, hogy megkülönböztessük ezeket a könyvtárakat a szóban forgó kódtól. A példában, a run.bat fájl a com.corsaire.ispatula.main osztályt hívja meg, így tudhatjuk, hogy legalább ez az osztály (és az ispatula csomag) érdekes a számunkra. Ajánlatos a többi JAR fájl osztályainak áttekintése is: Ezt a műveletet a jar program segítségével hajthatjuk végre, melynek a szintaxisa nagyon hasonlít a tar-hoz. A fájlok és a tartalmuk áttekintése jobb rálátást biztosít a releváns információk megállapításához: Azok a csomagok, melyek java.* javax.* és com.sun.* nevekkel kezdődnek, nyilvánvalóan nem a keresett kódot tartalmazzák. Ennek megfelelően azokat a csomagokat érdemes keresni, melyek olyan nevekkel rendelkeznek, amik valószínűleg a kliens fejlesztőjétől származnak. A keresés után, a következő fájlok tűnnek érdekesnek: AdminBean.jar AdminClient.jar Egy még kényelmesebb eljárás a JAR archívumok vizsgálatára az Eclipse JD Decompiler plugin használata. Egy új Java projekt létrehozásával és az érdekes JAR fájlok könyvtárként való hozzáadásával, majd kinyitva a JAR állományt és az osztályokra kattintva, megjelenik a kinyert tartalom az ablakban. 18

19 A package explorer megjeleníti az osztály mezőit és a metódusait. Egy futólagos pillantással a ClientForm osztály mezőire, figyelemre méltó információkat szerezhetünk. Feltárhatjuk a login(string,string) metódust, ami a későbbi nyomozás során érdekes lehet. A ClientForm GUI18 osztályokat is tartalmaz, mint például a panelek, címkék és gombok. A ManageOrdersBeanRemote osztály ugyancsak lényeges: A Remote név egy nyomravezető jel, valószínűleg egy EJB19 stub interfészt takar, mely távoli metódusok hívására használatos a szerver oldali EJB komponenst illetően. A feltárt kód: Az annotáció és az import megerősíti azt, hogy egy EJB-vel van dolgunk. 18 Graphical User Interface (GUI) grafikus felhasználói felület 19 Enterprise JavaBean (EJB) Az Enterprise JavaBean-ek moduláris vállalati alkalmazásokban használt szerveroldali komponensek. Általában az üzleti logika implementációját tartalmazzák. 19

20 A javap parancs használható ugyanezen információ megszerzésére IDE használata (pl.: Eclipse) nélkül. A legtöbb JDK20 tartalmazza a javap-ot. Megjegyezzük, hogy az EJB egy mező a ClientForm osztályban. A javap használatával ugyancsak rálátást nyerhetünk a rendelkezésre álló metódusokra: 20 Java Development Kit (JDK) Java fejlesztői csomag 20

21 Megjegyzés Léteznek olyan obfuscation módszerek, melyek összezavarhatják, elhomályosíthatják számunkra az alkalmazás működését. Ezek az eljárások módosíthatják a metódusok neveit, a mezőket és az alkalmazás osztályainak neveit is. Számos obfuscator21 a logikát is módosítja és optimalizálja a bájtkódot, teljesen összezavarva a visszafejtő programokat. A JD Decompiler ennek ellenére megbirkózik a legtöbb összezavart osztállyal. Mindamellett a kód mögött rejlő jelentés megfejtése jóval bonyolultabb lehet. Elhomályosított bájtkód biztonsági tesztelésekor két fő technika használható: a könyvtárakra vonatkozó referenciák keresése (kiváltképpen a JEE könyvtárakat illetően), valamint a futó alkalmazás aktív nyomonkövetése. Az alkalmazás aktív nyomonkövetésével következtethetünk a biztonsági perspektívából lényeges osztályokra. Nem szükséges a kód minden egyes sorának megértése, mindössze az érdekes metódusok hívásának azonosítására van szükség. Ahol az IDE és a JD Decompiler csődöt mond, ott a javap eszköz még további információt szolgáltathat. Például a következő osztályt az Eclipse, illetve a decompiler 22 már nem képes megvizsgálni: Ugyanakkor a javap megoldást nyújt a fenti problémára: Az információgyűjtés fázisa után a következő ismeretekkel rendelkezünk: Két JAR fájl érdekes (AdminBean.jar; AdminClient.jar). Egyikük EJB interfészt tartalmaz, mely meghatározza a szerver oldalon meghívott metódusokat. Az alkalmazás EJB technológiát használ a szerverrel való kommunikációja során. A ClientForm osztály tartalmazza a GUI logikát. A ClientForm egy EJB stub referenciát tartalmaz. A stub által felfedett metódusok: String login(string username, String password); List<Integer> getorderids(string accountid); Order getorder(int id); Továbbá az osztályok visszafejtéséhez további két technikát alkalmazunk a kliens működésének mélyebb megértéséhez: Profil készítés az Eclipse Test & Performance Tools Platform segítségével Dinamikus nyomonkövetés. 21 Obfuscator olyan szoftver, eljárás, mely elhomályosítja az alkalmazás működését, nehezítve a kód, illetve a működés logikájának visszafejtését. 22 Decompiler kódvisszafejtő szoftver 21

22 Mindkét módszer használható, illetve egyes esetekben elegendő csak az egyik alkalmazása, amennyiben az összes szükséges információ kinyerhető vele. Próbálkozás és analízis Az analízis céljai a következők: a program logikájának megértése. az érdekes osztályok és metódusok azonosítása. a BeanShell számára alkalmas befecskendezési pontok azonosítása. Profil készítés Eclipse TFTP-vel A TPTP plugin-nal indított Eclipse Run menüjéből a Profile Configurations kiválasztása szükséges. Itt új konfiguráció készíthető egy külső Java alkalmazás számára. A Main szekcióban szükséges meghatározni a futtatandó osztályokat és a használatos classpath-t. Mindezek már adottak a run.bat szkriptben, így mindösszesen az értékek átmásolását kell végrehajtani. A run.bat a következőket tartalmazza: Ugyanezeket a main és JAR fájlokat kell meghatározni az Eclipse profil konfigurációjában: Az alkalmazásnak nincs szüksége argumentumokra. Már csak a Monitor tab alatt az Execution Time Analysis kiválasztására van szükség, hogy készen álljunk a profilozáshoz. 22

23 Az alkalmazás indulása eltarthat egy darabig, de amikor elindult, az ismert GUI alkalmazással találkozhatunk. Egyszer átfutunk az alkalmazáson, hogy megfigyelhessük hogy miket is hív meg futása során. Miután megtörtént a sikeres belépés bob felhasználóval, és kiválasztásra került az egyik rendelési referencia, kilépünk, és bezárjuk az alkalmazást. Az Eclipse-en belül, jobb klikk a profilozott alkalmazásra, a Profiling Monitor mezőben, majd Open with.. UML2 Class Interactions. Az eredmény egy UML2 szekvencia diagram az osztályok közti interakciókkal kapcsolatosan a metódus hívások során. Az osztályokon át történő horizontális navigáció, rálátást biztosít a GUI osztály és a korábban azonosított EJB osztály közti interakciókra. 23

24 A bejelentkezési folyamat ideértve a megrendelési azonosítók (order ID) meghatározását tisztán kivehető az alábbi ábrán: Úgy tűnik, hogy a megrendelési azonosítók népesítik be a megrendelési mezőket: A végrehajtási folyamat mellett a szekvencia diagram megmutatja, hogy a ClientForm tartalmaz referenciát a ManageOrdersBean EJB-re. Más szavakkal, a ClientForm egy kitűnő hely olyan kódok befecskendezésére, melyekkel EJB-t érintő metódusokat hívunk. Összegezve, az Eclipse profilozó eszköz értékes betekintést biztosított a végrehajtási folyamatba, és megismerkedhettünk azzal, hogy mely metódus, mely osztályon került meghívásra. A szekvencia diagram tisztán tükrözi a kapcsolatot melyet már korábban felfedeztünk a javap eszközzel a ClientForm osztály és a ManageOrdersBeanRemote EJB stub között. A ClientForm osztálynak létezik egy EJB példánya, és közvetlenül hív meg metódusokat rajta. 24

25 Dinamikus nyomkövetés TPTP-vel Egy program végrehajtásának nyomonkövetése kiíratással vagy naplózással, ugyancsak hasznos technika lehet a végrehajtási folyamat megértéséhez. Természetesen a kiíratás nem minden esetben célravezető, amikor nem rendelkezünk a forrással natív alkalmazások esetén, de a Java-ban nem hogy célravezető, de igen könnyen kivitelezhető is. Az Eclipse TPTP projekt használatával kiíratást helyezhetünk el minden egyes metódus hívásban, így megérthetjük a hívási folyamatot. Ez maga után vonja a próbálkozások kialakítását és a próbák elhelyezését az általunk érdekesnek tartott JAR fájlokban. Mindenekelőtt, mentsük el az eredeti JAR fájlt, mielőtt megkezdenénk a módosításokat a próbáinkkal! Majd szükségünk lesz egy üres Java projekt létrehozására, és a cél JAR fájlok referencia könyvtárként való hozzáadására. Ezek után létrehozunk egy Probekit source Java projektet és rámutatunk az előzőleg létrehozott, üres Java projektre. Válasszunk egy Callsite próbát és helyezzük el a következő kód fregmentet, majd győződjünk meg arról, hogy a fregment típusa beforecall. A kód kiírja a hívó osztály nevét, a meghívott metódus nevét és a metódus aláírását. Szükséges még a változók definiálása: 25

26 Még mielőtt finomhangolhatnánk a JAR fájlt, szükségünk van a próba céljának beállítására. A szabályoknak tartalmazniuk kell az include és az exclude szabályokat: Majd jobb klikk az AdminClient.jar fájlra, és válasszuk ki az Instrument ponton belül a Static Instrumentation opciót. Az Eclipse így statikusan elhelyezi a kód fregmentet minden egyes metódus hívás előtt, az összes osztályban a JAR fájlban, amelyre érvényes a tartalmazási kritérium. A próba fordítása egy osztály fájlba történik. Mielőtt végrehajthatnánk a módosított alkalmazást, szükségünk lesz arra, hogy a futtató szkript classpath beállítását módosítsuk esetünkben a következőképpen: Az alkalmazás futtatása, és a bejelentkezési művelet, valamint egy rendelési azonosító kiválasztása a következő kiíratást eredményezi: A felhasználó alapján visszakeresett rendelések megértésének céljából a fentiek következő két részletére fókuszálunk: azonnal az autentikáció után, amikor a rendelések listázásra kerülnek, illetve a részletesen megjelenítendő rendelések kiválasztására. Annak érdekében, hogy a metódus aláírásokat tisztábban lássuk, az alábbiakban található egy jobban olvasható konverzió: Majd a megrendelésre való kattintáshoz tartozó kiíratás, melyet a GUI esemény fogadhat: 26

27 A nyomonkövetés kiíratása a következőképpen fordítva: Elemezve a metódusokat és a folyamatot, a következő konklúziókat vonhatjuk le: Mivel a bejelentkezési metódus a szerver oldalon String típust ad vissza, ezért lehetséges, hogy ez egy eszköz az állapot tárolásának a kliens oldalon. A getorderids híváshoz egy String argumentumra van szükség, mely megerősíti ezt a feltételezést. A getorderids eljárás egy listát ad vissza és feltehetően csak azok az elemek kerülnek megjelenítésre, amelyek a belépett felhasználóhoz kapcsolódnak. A getorder eljárás egy Integer típust fogad el paraméterként és egy Order objektumot ad vissza. A getorder(int) metódus elsődleges célpont lehet az elérési kontroll helyes implementációjának ellenőrzésére a szerver oldalon. Dinamikus nyomkövetés AspectJ használatával A TPTP csomag funkcionalitása nagyon hasonlít az AOP 23 koncepciójához, mely lehetővé teszi a fejlesztők számára, hogy olyan összefésülődéseket definiáljanak, melyeket az alkalmazás különböző részein alkalmazhatnak az osztályok szerkesztése nélkül. Az AspectJ egy elterjedt Java AOP keretrendszer, amely tökéletes a nyomkövetési feladatokra. Reverse engineering24 célokból egy fontos jellemvonással rendelkezik, mely nem mondható el a TPTP-ről, azaz képes elfogni a mező összefésüléseket. A következő nézet elkapja a metódus hívásokat (hasonlóképpen, mint ahogyan azt korábban a TPTP példa mutatta) és mező összefésüléseket: 23 Aspect Oriented Programming (AOP) aspektus-orientált programozás 24 Egy adott architektúra, működési elv, vagy algoritmus elemzése és dokumentálása az eredeti tervek ismerete nélkül, pusztán a működés és a tárgykód analizálásán keresztül. 27

28 A kiemelt szöveg mutatja a mező összefésülésért felelős kódot. Miután a nézet megírása megtörtént, összefésülhető a meglévő JAR fájllal, és egy új JAR fájl kapható kimenetként az ajc parancs és az aspectjrt könyvtár használatával. Az új JAR fájl, a NewAdminClient.jar már futtatható és a classpath-ban az aspectjrt-t is tartalmazza: 28

29 A programot futtatva és végrehajtva a már jól ismert műveleteket: belépés bob felhasználóként, majd az első rendelés kiválasztása egy halom kimenetet eredményez ideértve az összefűzéseket és a GUI hívásokat. A belépési metódus nyomonkövetése érdekes hozzárendelési műveleteket jelez: Mindez azt mutatja, hogy a ClientForm bejelentkezési metódusa hívja meg az EJB belépési eljárását, majd egy belső mezőhöz hozzáfűz egy string értéket. Ez erősen arra utal, hogy az állapot a kliensen kerül tárolásra! Továbbá az látható, hogy a rendelési azonosítók kinyerése a szerverről hogyan történik és, hogyan kerülnek megjelenítésre: Összefoglalva, az információgyűjtés valamint az elemzés során feltérképeztük az alkalmazás végrehajtási folyamatát, megállapításra kerültek a számbavehető támadási formák és azonosítottuk a támadási pontokat. A későbbiekben a megszerzett információk alapján mutatjuk be a demo alkalmazás gyengeségeinek kiaknázását, a kliens oldali biztonsági kontrollok megkerülésétől, egészen a szerver oldali funkciók támadásáig. Referenciák Attacking Java Client: A tutorial https://media.blackhat.com/bh-us10/whitepapers/devries/blackhat-usa-2010-devriesattacking-java-clients-wp.pdf Assessing Java clients with the BeanShell AspectJ BeanShell Eclipse TPTP Java Object Inspector 29

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ Sérülékenység kezelés Komli József project manager PTA CERT-Hungary Központ 1 A biztonságérzet a veszély érzékelésének hiánya 2 Mi a sérülékenység? Sérülékenység: Az IT biztonság területén a sérülékenység

Részletesebben

MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ

MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ 1 Mobil eszközök növekedési trendje 2 A mobil eszközök előnyei Támogatják a mobilitást, könnyű velük utazni, terepen munkát végezni Széles applikáció

Részletesebben

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András 2011.03.04. 2011.03.04 Marketingtorta - 4 1

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András 2011.03.04. 2011.03.04 Marketingtorta - 4 1 Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András 2011.03.04. 2011.03.04 Marketingtorta - 4 1 Témáink Bevezető Webáruház, mint IT rendszer biztonsága OWASP TOP10 webes hiba

Részletesebben

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Elektronikusan hitelesített PDF dokumentumok ellenőrzése Elektronikusan hitelesített PDF dokumentumok ellenőrzése Adobe Reader beállítása és használata a hitelesített PDF dokumentumok ellenőrzéséhez A dokumentáció szabadon tovább terjeszthető, a legfrissebb

Részletesebben

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009 Adatbázisok elleni fenyegetések rendszerezése Fleiner Rita BMF/NIK Robothadviselés 2009 Előadás tartalma Adatbázis biztonsággal kapcsolatos fogalmak értelmezése Rendszertani alapok Rendszerezési kategóriák

Részletesebben

Puskás Tivadar Közalapítvány. PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ. 2010. éves jelentés

Puskás Tivadar Közalapítvány. PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ. 2010. éves jelentés Puskás Tivadar Közalapítvány PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ 2010. éves jelentés Tartalom Bevezető...3 Szoftversérülékenységek...4 IT-biztonság a közszférában...6 Eszközellátottság és

Részletesebben

Kétcsatornás autentikáció

Kétcsatornás autentikáció Kétcsatornás autentikáció Az internet banking rendszerek biztonságának aktuális kérdései Gyimesi István, fejlesztési vezető, Cardinal Kft. Az előző részek tartalmából... E-Banking Summit 2012, Cardinal

Részletesebben

Output menedzsment felmérés. Tartalomjegyzék

Output menedzsment felmérés. Tartalomjegyzék Összefoglaló Output menedzsment felmérés 2009.11.12. Alerant Zrt. Tartalomjegyzék 1. A kutatásról... 3 2. A célcsoport meghatározása... 3 2.1 Célszervezetek... 3 2.2 Célszemélyek... 3 3. Eredmények...

Részletesebben

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal. Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.hu. 1 Tartalom 1. BEVEZETŐ... 3 1.1 Architektúra (terv) felülvizsgálat...

Részletesebben

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN N 1. Informatikai eszközök az irodában PC, Notebook, Szerver A számítógép típusonként az informatikai feladatoknak megfelelően. Nyomtatók, faxok, scannerek, fénymásolók Írásos dokumentum előállító eszközök.

Részletesebben

BYOD. Bring Your Own Device

BYOD. Bring Your Own Device BYOD Bring Your Own Device BYOD Bring Your Own Device vagyis Hozd magaddal a saját eszközöd Magyarországon a táblagépek és az okostelefonok gyors terjedésével és azzal, hogy hazánkban is számos üzleti

Részletesebben

Digitális aláíró program telepítése az ERA rendszeren

Digitális aláíró program telepítése az ERA rendszeren Digitális aláíró program telepítése az ERA rendszeren Az ERA felületen a digitális aláírásokat a Ponte webes digitális aláíró program (Ponte WDAP) segítségével lehet létrehozni, amely egy ActiveX alapú,

Részletesebben

Microsoft SQL Server telepítése

Microsoft SQL Server telepítése Microsoft SQL Server telepítése Az SQL Server a Microsoft adatbázis kiszolgáló megoldása Windows operációs rendszerekre. Az SQL Server 1.0 verziója 1989-ben jelent meg, amelyet tizenegy további verzió

Részletesebben

Digitális aláíró program telepítése az ERA rendszeren

Digitális aláíró program telepítése az ERA rendszeren Digitális aláíró program telepítése az ERA rendszeren Az ERA felületen a digitális aláírásokat a Ponte webes digitális aláíró program (Ponte WDAP) segítségével lehet létrehozni, amely egy ActiveX alapú,

Részletesebben

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez MICROSEC Számítástechnikai Fejlesztő zrt. e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez Felhasználói útmutató https://online.e-szigno.hu/ 1 Tartalom 1. Bevezetés... 3 2. A rendszer használatának

Részletesebben

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B-2008-0016

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B-2008-0016 Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B-2008-0016 Tájékoztató A ZMNE Egyetemi Informatikai Szolgáltató Központ (EISZK) a 2010/2011-es tanévtől

Részletesebben

iseries Client Access Express - Mielőtt elkezdi

iseries Client Access Express - Mielőtt elkezdi iseries Client Access Express - Mielőtt elkezdi iseries Client Access Express - Mielőtt elkezdi ii iseries: Client Access Express - Mielőtt elkezdi Tartalom Rész 1. Client Access Express - Mielőtt elkezdi.................

Részletesebben

Műszaki előfeltételek

Műszaki előfeltételek Műszaki előfeltételek 1. Böngésző proxy beállítás A T-Mobile HotSpot szolgáltatás igénybe vételéhez böngészőprogramban ki kell kapcsolni a proxy beállításokat. Ehhez Internet Explorer esetén a Tools/Internet

Részletesebben

MŰSZAKI KÖVETELMÉNYEK, A KÖRKERESŐ SZOFTVER SPECIFIKÁCIÓJA, KÖLTSÉGVETÉS. A) Műszaki követelmények

MŰSZAKI KÖVETELMÉNYEK, A KÖRKERESŐ SZOFTVER SPECIFIKÁCIÓJA, KÖLTSÉGVETÉS. A) Műszaki követelmények 1. sz. melléklet MŰSZAKI KÖVETELMÉNYEK, A KÖRKERESŐ SZOFTVER SPECIFIKÁCIÓJA, KÖLTSÉGVETÉS A) Műszaki követelmények A körkereső szoftvernek (a továbbiakban Szoftver) az alábbi követelményeknek kell megfelelnie

Részletesebben

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Elektronikusan hitelesített PDF dokumentumok ellenőrzése Elektronikusan hitelesített PDF dokumentumok ellenőrzése Adobe Reader beállítása és használata a hitelesített PDF dokumentumok ellenőrzéséhez A dokumentáció szabadon tovább terjeszthető, a legfrissebb

Részletesebben

Felhasználói kézikönyv a WEB EDInet rendszer használatához

Felhasználói kézikönyv a WEB EDInet rendszer használatához Felhasználói kézikönyv a WEB EDInet rendszer használatához A WEB EDInet rendszer használatához internet kapcsolat, valamint egy internet böngésző program szükséges (Mozilla Firefox, Internet Explorer).

Részletesebben

Kezdő lépések Microsoft Outlook

Kezdő lépések Microsoft Outlook Kezdő lépések Microsoft Outlook A Central Europe On-Demand Zrt. által, a Telenor Magyarország Zrt. részére nyújtott szolgáltatások rövid kezelési útmutatója 1 Tartalom Áttekintés... 3 MAPI mailbox konfiguráció

Részletesebben

Andrews Kft. A technológia megoldás szállító.

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu> Andrews Kft. A technológia megoldás szállító. Az Andrews bemutatása. 1999 derekán alakult az ALF tűzfal fejlesztésére. Csak magyar tulajdonosok. Tulajdonosok zömében mérnökök

Részletesebben

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok Alapfogalmak Biztonság Biztonsági támadások Biztonsági célok Biztonsági szolgáltatások Védelmi módszerek Hálózati fenyegetettség Biztonságos kommunikáció Kriptográfia SSL/TSL IPSec Támadási folyamatok

Részletesebben

1. fejezet Bevezetés a web programozásába (Balássy György munkája)... 11 Az internet működése... 11

1. fejezet Bevezetés a web programozásába (Balássy György munkája)... 11 Az internet működése... 11 Tartalomjegyzék 1. fejezet Bevezetés a web programozásába (Balássy György munkája)... 11 Az internet működése... 11 Géptől gépig... 11 Számok a gépeknek... 13 Nevek az embereknek... 14 Programok egymás

Részletesebben

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE Felhasználói leírás E-HATÁROZAT 2012 - verzió 1.2 Érvényes: 2012. május 24-től. Azonosító: ehatarozat_ugyfél_ beallitasok_kezikonyv_felh_v1.2_20120524_tol 1/15 1 Tartalom

Részletesebben

A CAPICOM ActiveX komponens telepítésének és használatának leírása Windows7 operációs rendszer és Internet Explorer 8-es verziójú böngésző esetén

A CAPICOM ActiveX komponens telepítésének és használatának leírása Windows7 operációs rendszer és Internet Explorer 8-es verziójú böngésző esetén A CAPICOM ActiveX komponens telepítésének és használatának leírása Windows7 operációs rendszer és Internet Explorer 8-es verziójú böngésző esetén Tartalomjegyzék 1. A CAPICOM ACTIVEX KOMPONENS TELEPÍTÉSE...3

Részletesebben

Gyakorlati vizsgatevékenység B

Gyakorlati vizsgatevékenység B 55 41 04 0000 00 00 Web-programozó 110-06 111-06 70-06 11-06 119-06 1.. 3. 1.. 1.. 3. 1.. 1.. 3. 4. 5. Gyakorlati vizsgatevékenység B Szakképesítés azonosító száma, megnevezése: 55 41 04 0000 00 00 Web-programozó

Részletesebben

Kezdő lépések Outlook Web Access

Kezdő lépések Outlook Web Access Kezdő lépések Outlook Web Access A Central Europe On-Demand Zrt. által, a Telenor Magyarország Zrt. ügyfelei részére nyújtott szolgáltatások rövid kezelési útmutatója Tartalom Bevezetés... 3 Rendszerkövetelmények...

Részletesebben

Zimbra levelező rendszer

Zimbra levelező rendszer Zimbra levelező rendszer Budapest, 2011. január 11. Tartalomjegyzék Tartalomjegyzék... 2 Dokumentum információ... 3 Változások... 3 Bevezetés... 4 Funkciók... 5 Email... 5 Társalgás, nézetek, és keresés...

Részletesebben

PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ

PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ Puskás Tivadar Közalapítvány PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ Adathalászat (phishing) 2012. május Tartalom Bevezető...3 Adathalászat (phishing)...3 Banki és pénzügyi szektor ellen irányuló

Részletesebben

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas email leveleinket?

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas email leveleinket? E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas email leveleinket? Egy email szövegében elhelyezet információ annyira biztonságos, mintha ugyanazt az információt

Részletesebben

Nemzeti Hálózatbiztonsági Központ. Szekeres Balázs Műszaki igazgató PTA CERT-Hungary Központ Nemzeti Hálózatbiztonsági Központ

Nemzeti Hálózatbiztonsági Központ. Szekeres Balázs Műszaki igazgató PTA CERT-Hungary Központ Nemzeti Hálózatbiztonsági Központ Nemzeti Hálózatbiztonsági Központ Szekeres Balázs Műszaki igazgató PTA CERT-Hungary Központ Nemzeti Hálózatbiztonsági Központ 1 PTA CERT-Hungary Központ 2005. január 1-től látja el a Kormányzati CERT szerepet

Részletesebben

Crossplatform mobil fejlesztőkörnyezet kiválasztását támogató kutatás

Crossplatform mobil fejlesztőkörnyezet kiválasztását támogató kutatás Crossplatform mobil fejlesztőkörnyezet kiválasztását támogató kutatás A Mobil multimédiás kliens fejlesztői eszközkészlet létrehozása című kutatás-fejlesztési projekthez A dokumentum célja A dokumentum

Részletesebben

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Elektronikusan hitelesített PDF dokumentumok ellenőrzése Elektronikusan hitelesített PDF dokumentumok ellenőrzése Adobe Reader beállítása és használata a hitelesített PDF dokumentumok ellenőrzéséhez A dokumentáció szabadon tovább terjeszthető, a legfrissebb

Részletesebben

Geotechnika II. (NGB-SE005-2) Geo5 használat

Geotechnika II. (NGB-SE005-2) Geo5 használat Geotechnika II. (NGB-SE005-2) Geo5 használat A Geo5 szoftvert (1. házi feladathoz opcióként, 2. házi feladathoz kötelezően) online felületen keresztül, távoli asztal kapcsolattal lehet használni. Az ehhez

Részletesebben

VBA makrók aláírása Office 2007 esetén

VBA makrók aláírása Office 2007 esetén VBA makrók aláírása Office 2007 esetén Windows tanúsítványtárban és/vagy kriptográfia eszközökön található tanúsítványok esetén Office 2007 alkalmazással 1(10) 1. Tartalomjegyzék 1. Tartalomjegyzék...

Részletesebben

Ú J B E L É PŐK RÉSZÉRE NYÚJTOTT

Ú J B E L É PŐK RÉSZÉRE NYÚJTOTT Informatikai Igazgatóság: Ú J B E L É PŐK RÉSZÉRE NYÚJTOTT I N F O R M A T I K A S Z O L G Á L T A T Á S O K Az Igazgatóság felelős az informatikai szolgáltatások biztosításáért, kiemelten a központi gazdálkodási

Részletesebben

Informatika. 3. Az informatika felhasználási területei és gazdasági hatásai

Informatika. 3. Az informatika felhasználási területei és gazdasági hatásai Informatika 1. Hírek, információk, adatok. Kommunikáció. Definiálja a következő fogalmakat: Információ Hír Adat Kommunikáció Ismertesse a kommunikáció modelljét. 2. A számítástechnika története az ENIAC-ig

Részletesebben

Tájékoztató az 1.10-es labor használatához

Tájékoztató az 1.10-es labor használatához Tájékoztató az 1.10-es labor használatához Általános leírás A kari nyílt laborban vékony kliens alapú architektúrát alakítottunk ki, ahol egy-két alapvető alkalmazáson kívül (pl.: böngésző, PDF olvasó,

Részletesebben

K&H token tanúsítvány megújítás

K&H token tanúsítvány megújítás K&H token tanúsítvány megújítás felhasználói kézikönyv 2014.10.15. verzió: 1.2 1 Tartalomjegyzék 1 Bevezetés... 3 2 Technikai feltételek... 3 3 A tanúsítványok megújításának folyamata Firefox... 6 4 A

Részletesebben

KnowledgeTree dokumentumkezelő rendszer

KnowledgeTree dokumentumkezelő rendszer KnowledgeTree dokumentumkezelő rendszer Budapest, 2011. január 11. Tartalomjegyzék Tartalomjegyzék... 2 Dokumentum információ... 3 Változások... 3 Bevezetés... 4 Funkciók... 5 Felhasználói felület... 5

Részletesebben

Az OpenScape Business rendszerek egységes architektúrára épülnek: Rugalmas, skálázható és megbízható

Az OpenScape Business rendszerek egységes architektúrára épülnek: Rugalmas, skálázható és megbízható Rugalmas, skálázható és megbízható Az OpenScape Business rendszer a kis- és közepes vállalkozások változatos igényeinek minden szempontból megfelelő korszerű, egységes kommunikációs (UC) megoldás. A rendszer-felépítése

Részletesebben

telepítési útmutató K&H Bank Zrt.

telepítési útmutató K&H Bank Zrt. K&H Bank Zrt. 1095 Budapest, Lechner Ödön fasor 9. telefon: (06 1) 328 9000 fax: (06 1) 328 9696 Budapest 1851 www.kh.hu bank@kh.hu telepítési útmutató K&H e-bank Budapest, 2015. március 09. K&H e-bank

Részletesebben

Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre

Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre Windows XP, Vista és Windows 7 operációs rendszeren 1(6) 1. Tartalomjegyzék 1. Tartalomjegyzék... 2 2. Bevezető... 3 3. MiniDriver Manager

Részletesebben

IBM felhő menedzsment

IBM felhő menedzsment IBM Váltsunk stratégiát! Budapest, 2012 november 14. IBM felhő menedzsment SmartCloud Provisioning és Service Delivery Manager Felhő alapú szolgáltatások Felhasználás alapú számlázás és dinamikus kapacitás

Részletesebben

OZEKI Phone System. 4 elengedhetetlen szolgáltatás a jövőbeli vállalati telefonos rendszerek számára. A jövő üzleti telefon rendszere SMS

OZEKI Phone System. 4 elengedhetetlen szolgáltatás a jövőbeli vállalati telefonos rendszerek számára. A jövő üzleti telefon rendszere SMS A jövő üzleti telefon rendszere 4 elengedhetetlen szolgáltatás a jövőbeli vállalati telefonos rendszerek számára SMS Mobil mellékek Webtelefon Üzenetküldés és jelenlét Összhang az IT-vel Olvassa el! Ajánlatkérő

Részletesebben

ÓBUDAI EGYETEM Neumann János Informatikai Kar Informatikai Rendszerek Intézet Témavezető: Bringye Zsolt

ÓBUDAI EGYETEM Neumann János Informatikai Kar Informatikai Rendszerek Intézet Témavezető: Bringye Zsolt Témavezető: Bringye Zsolt Diplomamunka/szakdolgozat címe: X64 szerver virtualizáció technológiai kérdéseinek áttekintése, kereskedelmi termékekben történő megvalósításuk elemzése (funkcionalitás, teljesítmény,

Részletesebben

A biztonság már közvetlen üzleti előnyt is jelent

A biztonság már közvetlen üzleti előnyt is jelent SAJTÓKÖZLEMÉNY AZONNAL KÖZÖLHETŐ 2014. november 4. A biztonság már közvetlen üzleti előnyt is jelent A Google friss, SSL-hez kapcsolódó változtatásaira hívja fel a figyelmet a NETLOCK Az SSL tanúsítvány

Részletesebben

Az Enterprise Content Management. Miért, mit, hogyan? 2013. 03. 28., Sasi Péter

Az Enterprise Content Management. Miért, mit, hogyan? 2013. 03. 28., Sasi Péter Az Enterprise Content Management Miért, mit, hogyan? 2013. 03. 28., Sasi Péter Alapok Mit jelent az ECM megközelítés erősen leegyszerűsítve Tartalomkezelés: 1. az információvagyon teljes strukturálatlan

Részletesebben

Felhasználói kézikönyv

Felhasználói kézikönyv Felhasználói kézikönyv Központi Jogosultsági Rendszer Nemzeti Szakképzési és Felnőttképzési Intézet 2010. július 23. Verziószám: 1.0 Végleges Tartalomjegyzék 1 Bevezető... 1 2 A Központi Jogosultsági Rendszer

Részletesebben

Ez a telepítési dokumentum segítséget nyújt abban, hogy szabályosan telepítse az Áfa átállító szoftvert Szerviz 7 programhoz.

Ez a telepítési dokumentum segítséget nyújt abban, hogy szabályosan telepítse az Áfa átállító szoftvert Szerviz 7 programhoz. 3Sz-s Kft. 1158 Budapest, Jánoshida utca 15. Tel: (06-1) 416-1835 / Fax: (06-1) 419-9914 e-mail: zk@3szs.hu / web: www.3szs.hu Tisztelt Felhasználó! Ez a telepítési dokumentum segítséget nyújt abban, hogy

Részletesebben

Mobil Partner telepítési és használati útmutató

Mobil Partner telepítési és használati útmutató Mobil Partner telepítési és használati útmutató Tartalom Kezdeti lépések... 2 Telepítés... 2 A program indítása... 6 Mobile Partner funkciói... 7 Művelet menü... 7 Kapcsolat... 7 Statisztika... 8 SMS funkciók...

Részletesebben

1. Szolgáltatásaink. Adatok feltöltése és elemzése. Digitális feltöltés. Analóg korong feltöltés

1. Szolgáltatásaink. Adatok feltöltése és elemzése. Digitális feltöltés. Analóg korong feltöltés v 1.1 1. Szolgáltatásaink Adatok feltöltése és elemzése A Tacho-X rendszer képes a digitális, valamint analóg tachográfból korongokból származó adatokat beolvasni, és elemezni azokat. Az beolvasott adatokat,

Részletesebben

WebEC kliens számítógép telepítése és szükséges feltételek beállítása, az alábbi ellenőrző lista alapján történik.

WebEC kliens számítógép telepítése és szükséges feltételek beállítása, az alábbi ellenőrző lista alapján történik. WebEC kliens számítógép telepítése és szükséges feltételek beállítása, az alábbi ellenőrző lista alapján történik.! Feltétel a helyi tűzfalon engedélyezve legyenek a 2443 és a 6443-as portok. 1. HW/SW

Részletesebben

Vállalati mobilitás. Jellemzők és trendek

Vállalati mobilitás. Jellemzők és trendek Vállalati mobilitás Jellemzők és trendek Vállalati mobilitás értelmezése és előnyei A mobil eszközök (okos telefon, tablet, laptop) száma világszerte rohamosan növekszik és használatuk már nem luxus, hanem

Részletesebben

Alkalmazások fejlesztése A D O K U M E N T Á C I Ó F E L É P Í T É S E

Alkalmazások fejlesztése A D O K U M E N T Á C I Ó F E L É P Í T É S E Alkalmazások fejlesztése A D O K U M E N T Á C I Ó F E L É P Í T É S E Követelmény A beadandó dokumentációját a Keszthelyi Zsolt honlapján található pdf alapján kell elkészíteni http://people.inf.elte.hu/keszthelyi/alkalmazasok_fejlesztese

Részletesebben

OZEKI Phone System. A jövő vállalati telefon rendszerének 4 alappillére. A jövő üzleti telefon rendszere SMS. Mobil mellékek. Összhang az IT-vel

OZEKI Phone System. A jövő vállalati telefon rendszerének 4 alappillére. A jövő üzleti telefon rendszere SMS. Mobil mellékek. Összhang az IT-vel A jövő üzleti telefon rendszere A jövő vállalati telefon rendszerének 4 alappillére SMS Mobil mellékek Webtelefon Üzenetküldés Összhang az IT-vel É rdemes elolvasni! Ajánlatkérés Kérem, töltse ki az űrlapot,

Részletesebben

VBA makrók aláírása Office XP/2002/2003 esetén

VBA makrók aláírása Office XP/2002/2003 esetén VBA makrók aláírása Office XP/2002/2003 esetén Windows tanúsítványtárban és kriptográfia eszközökön található tanúsítványok esetén Office XP/2002/2003 alkalmazással 1(11) 1. Tartalomjegyzék 1. Tartalomjegyzék...

Részletesebben

Tanúsítvány feltöltése Gemalto TPC IM CC és ID Classic 340 típusú kártyára

Tanúsítvány feltöltése Gemalto TPC IM CC és ID Classic 340 típusú kártyára Tanúsítvány feltöltése Gemalto TPC IM CC és ID Classic 340 típusú kártyára Windows XP, Vista, Windows 7 és Windows 8 operációs rendszeren 1(6) 1. Tartalomjegyzék 1. Tartalomjegyzék... 2 2. Bevezető...

Részletesebben

Vaszary János Általános Iskola és Logopédiai Intézet

Vaszary János Általános Iskola és Logopédiai Intézet Vaszary János Általános Iskola és Logopédiai Intézet Informatikai stratégia Tata, 2011. Informatikai stratégia - 2 - Tartalom 1. Számítógépes hálózatok... - 3-2. Internet kapcsolat... - 3-3. Interaktív

Részletesebben

AZ N-WARE KFT. ÁLTAL ELEKTRONIKUSAN ALÁÍRT PDF DOKUMENTUMOK HITELESSÉGÉNEK ELLENŐRZÉSE VERZIÓ SZÁM: 1.3 KELT: 2012.02.01.

AZ N-WARE KFT. ÁLTAL ELEKTRONIKUSAN ALÁÍRT PDF DOKUMENTUMOK HITELESSÉGÉNEK ELLENŐRZÉSE VERZIÓ SZÁM: 1.3 KELT: 2012.02.01. AZ N-WARE KFT. ÁLTAL ELEKTRONIKUSAN ALÁÍRT PDF DOKUMENTUMOK HITELESSÉGÉNEK ELLENŐRZÉSE VERZIÓ SZÁM: 1.3 KELT: 2012.02.01. Tartalom 1. A dokumentum célja... 3 2. Akiknek segítséget kívánunk nyújtani...

Részletesebben

OTPdirekt Internet Banking. Használati útmutató

OTPdirekt Internet Banking. Használati útmutató OTPdirekt Internet Banking Használati útmutató 1 Tartalom I. OTPdirekt Internet Banking : Azonosítási lépések I.1. Azonosítás OTP Bank Románia által kibocsátott bankkártya segítségével...3 I.2. Azonosítás

Részletesebben

BUDGET-IT Prezentáció. NAVIGATOR Informatika Zrt.

BUDGET-IT Prezentáció. NAVIGATOR Informatika Zrt. BUDGET-IT Prezentáció NAVIGATOR Informatika Zrt. PIACI HÁTTÉR A BUDGET-IT szolgáltatás A BUDGET-IT szolgáltatás legfőbb előnyei Kiknek készült a BUDGET-IT? PIACI HÁTTÉR Jelenlegi gazdasági helyzet Gazdasági

Részletesebben

Intelligens biztonsági megoldások. Távfelügyelet

Intelligens biztonsági megoldások. Távfelügyelet Intelligens biztonsági megoldások A riasztást fogadó távfelügyeleti központok felelősek a felügyelt helyszínekről érkező információ hatékony feldolgozásáért, és a bejövő eseményekhez tartozó azonnali intézkedésekért.

Részletesebben

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre Windows XP, Vista és Windows 7 operációs rendszeren 1(6) 1. Tartalomjegyzék 1. Tartalomjegyzék... 2 2. Bevezető... 3 3. AuthentIC Manager

Részletesebben

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva! www.it-shield.hu

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva! www.it-shield.hu IT-Shield Mss Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva! www.it-shield.hu PAJZS a KiberviLág FELÉ Napjaink egyre nagyobb kihívásokkal küzdő üzleti informatikai világában

Részletesebben

Vezető Kedvezményezetti Szeminárium IMIR 2007-2013

Vezető Kedvezményezetti Szeminárium IMIR 2007-2013 Vezető Kedvezményezetti Szeminárium IMIR 2007-2013 A Magyarország-Horvátország IPA Határon Átnyúló Együttműködési Program közös monitoring és információs rendszere Pécs, 2010. július 15. Napirend 11:00-12:00

Részletesebben

Felhasználói útmutató

Felhasználói útmutató Felhasználói útmutató EUREST KFT. BUDAPESTI NÉMET ISKOLA WEB ALAPÚ MENÜRENDSZERÉNEK HASZNÁLATÁHOZ Tartalom Általános felhasználói ismeretek... 2 Nyelv Választás... 3 Regisztráció... 4 Bejelentkezés...

Részletesebben

Tájékoztató az Ügyfélkapu használatáról

Tájékoztató az Ügyfélkapu használatáról Tájékoztató az Ügyfélkapu használatáról Az Ügyfélkapu a magyar kormányzat elektronikus ügyfél-beléptető és azonosító rendszere. Biztosítja, hogy felhasználói a személyazonosság igazolása mellett, egyszeri

Részletesebben

KIRA. KIRA rendszer. Telepítési útmutató v1

KIRA. KIRA rendszer. Telepítési útmutató v1 KIRA rendszer Telepítési útmutató v1 1. Bevezetés A dokumentáció, illetve a dokumentáció mellékleteként megtalálható állományok segítségével készíthető fel a kliens oldali számítógép a KIRA rendszer működtetésére.

Részletesebben

Váci Mihály Kulturális Központ Cím: Telefon: Fax: Web: E-mail: Nyilvántartásba vételi szám:

Váci Mihály Kulturális Központ Cím: Telefon: Fax: Web: E-mail: Nyilvántartásba vételi szám: TÁJÉKOZTATÓ Digitális írástudás fejlesztése /D009 A képzés során megszerezhető kompetenciák A képzésben résztvevő: képessé válik a legfontosabb számítástechnikai kifejezések megnevezésére, megérti a számítógép

Részletesebben

Email Marketing szolgáltatás tájékoztató

Email Marketing szolgáltatás tájékoztató Email Marketing szolgáltatás tájékoztató RENDESWEB Kft. Érvényes: 2013.03.01-től visszavonásig +3 20 A RENDES (273 337) Adószám: 12397202-2-42 Cégjegyzékszám: 01-09-7079 1. Minőség Nálunk legmagasabb prioritást

Részletesebben

Számítógépes vírusok. Barta Bettina 12. B

Számítógépes vírusok. Barta Bettina 12. B Számítógépes vírusok Barta Bettina 12. B Vírusok és jellemzőik Fogalma: A számítógépes vírus olyan önmagát sokszorosító program,mely képes saját magát más végrehajtható alkalmazásokban, vagy dokumentumokban

Részletesebben

ECDL Információ és kommunikáció

ECDL Információ és kommunikáció 1. rész: Információ 7.1 Az internet 7.1.1 Fogalmak és szakkifejezések 7.1.2 Biztonsági megfontolások 7.1.3 Első lépések a webböngésző használatában 7.1.4 A beállítások elévégzése 7.1.1.1 Az internet és

Részletesebben

Technológia az adatszivárgás ellen

Technológia az adatszivárgás ellen 2008.12.15. Technológia az adatszivárgás ellen 2008. november 17. Fazekas Éva, Processorg Software 82 Kft. Áttekintés 1 A probléma 1. blé 2. Az elvárt eredmény 3. Megoldási lehetőségek 4. A technológia

Részletesebben

Új utak az értékesítésben avagy mikor váltja be az online értékesítés a hozzá fűzött reményeket?

Új utak az értékesítésben avagy mikor váltja be az online értékesítés a hozzá fűzött reményeket? Új utak az értékesítésben avagy mikor váltja be az online értékesítés a hozzá fűzött reményeket? Kővári Zoltán V. MABISZ NEMZETKÖZI BIZTOSÍTÁSI KONFERENCIA, 2014. november 6. Online értékesítés eredményei

Részletesebben

Email Marketing szolgáltatás tájékoztató

Email Marketing szolgáltatás tájékoztató Email Marketing szolgáltatás tájékoztató RENDESWEB Kft. Érvényes: 2012.03.01-től visszavonásig +3 20 A RENDES (273 337) 1. Minőség Nálunk legmagasabb prioritást vevőink elégedettsége élvez így próbálunk

Részletesebben

Videosquare regisztráció - Használati tájékoztató

Videosquare regisztráció - Használati tájékoztató Videosquare regisztráció - Használati tájékoztató Minimális követelmények a K&H távbankár híradó megtekintéséhez Adobe Flash lejátszó Amennyiben Ön nem rendelkezik Adobe Flash lejátszóval vagy túlzottan

Részletesebben

Ingyenes DDNS beállítása MAZi DVR/NVR/IP eszközökön

Ingyenes DDNS beállítása MAZi DVR/NVR/IP eszközökön Ingyenes DDNS beállítása MAZi DVR/NVR/IP eszközökön Fontos Amennyiben egy eszköz interneten keresztüli elérését lehetővé teszi, az illetéktelen hozzáférés megakadályozása érdekében: előtte az alapértelmezett

Részletesebben

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató Informatikai adatvédelem a gyakorlatban Dr. Kőrös Zsolt ügyvezető igazgató Az informatika térhódításának következményei Megnőtt az informatikától való függőség Az informatikai kockázat üzleti kockázattá

Részletesebben

WEBrendelés modul Felhasználói kézikönyv

WEBrendelés modul Felhasználói kézikönyv CaIS integrált alkalmazáscsomag [M] rendszerekre WEBrendelés modul Felhasználói kézikönyv MV1 NoSQL multidimensional database and application Runtime System Project : WEB-CaIS ver 1.5 Cserpes Sajtműhely

Részletesebben

Oktatási cloud használata

Oktatási cloud használata Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnikai és Információs Rendszerek Tanszék Oktatási cloud használata Készítette: Tóth Áron (BME MIT), 2013. A segédlet célja a tanszéki oktatási cloud

Részletesebben

Hatékony. kliensfelügyelet. Avégfelhasználói rendszerek tekintetében korántsem olyan egyértelmű a kép, mint az

Hatékony. kliensfelügyelet. Avégfelhasználói rendszerek tekintetében korántsem olyan egyértelmű a kép, mint az Hatékony kliensfelügyelet Ma már szerencsére vitán felül áll, hogy a nagy komplexitású, üzleti szempontból kritikus rendszereket csak automatizált és intelligens felügyeleti eszközökkel lehet eredményesen

Részletesebben

BalaBit IT Security. A sárkány útja. Györkő Zoltán Üzletfejlesztési Igazgató BalaBit IT Security Budapest, 2011. június 2. www.balabit.

BalaBit IT Security. A sárkány útja. Györkő Zoltán Üzletfejlesztési Igazgató BalaBit IT Security Budapest, 2011. június 2. www.balabit. BalaBit IT Security A sárkány útja Györkő Zoltán Üzletfejlesztési Igazgató BalaBit IT Security Budapest, 2011. június 2. A BalaBitről A BalaBit a világ egyik vezető IT-biztonsági szoftverfejlesztő vállalata

Részletesebben

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán Működési kockázatkezelés fejlesztése a CIB Bankban IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán 1 A Működési Kockázatkezelés eszköztára Historikus adatok gyűjtése és mennyiségi

Részletesebben

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához Készítette: Szentgyörgyi Attila Turcsányi Tamás Web: http://www.wyonair.com E-mail: 2008. november 8. TARTALOMJEGYZÉK TARTALOMJEGYZÉK

Részletesebben

ÁNYK53. Az Általános nyomtatványkitöltő (ÁNYK), a személyi jövedelemadó (SZJA) bevallás és kitöltési útmutató együttes telepítése

ÁNYK53. Az Általános nyomtatványkitöltő (ÁNYK), a személyi jövedelemadó (SZJA) bevallás és kitöltési útmutató együttes telepítése ÁNYK53 Az Általános nyomtatványkitöltő (ÁNYK), a személyi jövedelemadó (SZJA) bevallás és kitöltési útmutató együttes telepítése Az ÁNYK53 egy keretprogram, ami a személyi jövedelemadó bevallás (SZJA,

Részletesebben

Felhasználói dokumentáció a teljesítményadó állományok letöltéséhez v1.0

Felhasználói dokumentáció a teljesítményadó állományok letöltéséhez v1.0 Felhasználói dokumentáció a teljesítményadó állományok letöltéséhez v1.0 www.kekkh.gov.hu Státusz: Verzió Cím Dátum SzerzőFolyamatban Változások Verzió Dátum Vállalat Verzió: 1.0 Szerző: Lénárd Norbert

Részletesebben

TERC V.I.P. hardverkulcs regisztráció

TERC V.I.P. hardverkulcs regisztráció TERC V.I.P. hardverkulcs regisztráció 2014. második félévétől kezdődően a TERC V.I.P. költségvetés-készítő program hardverkulcsát regisztrálniuk kell a felhasználóknak azon a számítógépen, melyeken futtatni

Részletesebben

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. www.cardinal.hu

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. www.cardinal.hu Az Internet elavult Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft wwwcardinalhu Cardinal Kft 2006 1 Elektronikus elérésre szükség van Internet híján betárcsázós ügyfélprogramok voltak:

Részletesebben

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata 2009.11.19. TARTALOMJEGYZÉK 1 Általános rendelkezések... 3 1.1 A SZABÁLYOZÁS CÉLJA... 3 1.2 A DOKUMENTUM BESOROLÁSA... 3 1.3 KAPCSOLAT AZ ELECTOOL

Részletesebben

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét! Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét! http://m.equicomferencia.hu/ramada Liszkai János senior rendszermérnök vállalati hálózatok Miről is lesz szó? Adatközpont

Részletesebben

Ez a felhasználói útmutató a következő modellekre vonatkozik:

Ez a felhasználói útmutató a következő modellekre vonatkozik: AirPrint útmutató Ez a felhasználói útmutató a következő modellekre vonatkozik: HL-L850CDN/L8350CDW/L8350CDWT/L900CDW/L900CDWT DCP-L8400CDN/L8450CDW MFC-L8600CDW/L8650CDW/L8850CDW/L9550CDW A verzió HUN

Részletesebben

EDInet Connector telepítési segédlet

EDInet Connector telepítési segédlet EDInet Connector telepítési segédlet A cégünk által küldött e-mail-ben található linkre kattintva, a következő weboldal jelenik meg a böngészőben: Az EdinetConnectorInstall szövegre klikkelve(a képen pirossal

Részletesebben

OOP és UML Áttekintés

OOP és UML Áttekintés OOP és UML Áttekintés Tóth Zsolt Miskolci Egyetem 2013 Tóth Zsolt (Miskolci Egyetem) OOP és UML Áttekintés 2013 1 / 32 Tartalom jegyzék 1 OOP Osztály Öröklődés Interfész, Absztrakt Osztály Kivétel kezelés

Részletesebben

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság

Részletesebben

Citibank Online Internet Banking Használati útmutató

Citibank Online Internet Banking Használati útmutató Citibank Online Internet Banking Használati útmutató Bevezető A Citibank Online Internet Banking segítségével a nap 24 órájában, biztonságosan intézheti pénzügyeit, hiszen számos banki szolgáltatás elérhető

Részletesebben

Cisco ISE megoldások. Balatonalmádi, 2014. február 27. Détári Gábor, senior rendszermérnök detari.gabor@t-systems.hu

Cisco ISE megoldások. Balatonalmádi, 2014. február 27. Détári Gábor, senior rendszermérnök detari.gabor@t-systems.hu Cisco ISE megoldások Balatonalmádi, 2014. február 27. Détári Gábor, senior rendszermérnök detari.gabor@t-systems.hu TARTALOM 1 2 3 Motivációk Aggasztó kérdések, belépési pontok Régi és új típusú megoldások

Részletesebben